Die Zukunft von Passwörtern

Passwörter an sich sind ein vielschichtiges, komplexes Thema. Nutzer sind häufig frustriert – auf der einen Seite haben wir immer mehr Onlinedienste, auf der anderen Seite sollten wir lange, komplexe Passwörter nutzen. Zu allem Überfluss sollten diese auch noch je Dienst unterschiedlich sein und von Zeit zu Zeit geändert werden. Fido2 tritt jetzt an, um Passwörter abzuschaffen.

von Jan Gruber am 8. Oktober 2018

Hand aufs Herz – eigentlich wissen wir, wie das mit den Passwörtern funktionieren sollte. Sie sollten möglichst lang sein sowie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Zudem sollten sie nicht sozial nachvollziehbar sein. Bedeutet: Wer sich drei Minuten durch das Facebook-Profil klickt, sollte nicht sofort alle wichtigen Daten parat haben. 123456 ist im Zweifel ein ebenso schlechtes Passwort wie der Name der Frau und deren Geburtsjahr davor oder dahinter.

Zudem sollten überall unterschiedliche Passwörter genutzt werden. Der Grund ist nachvollziehbar – immer wieder werden Dienste gehackt, am Ende landen die Passwörter unverschlüsselt irgendwo. Dienste wie Have i been Pwned teilen einem das wirkliche Ausmaß schnell mit – in den einen oder anderen Hack bzw. Datenskandal waren die meisten Nutzer schon verwickelt. Am Ende haben Angreifer den Accountnamen und das Passwort. Wer überall dieselbe E-Mail-Adresse und das gleiche Passwort nutzt, steht so quasi mit komplett heruntergelassenen Hosen da.

Rund um mögliche Sicherheitsbedenken hat sich vor allem das 2-Faktor-Verfahren als probate Lösung herausgestellt. Dabei fordern Services, sofern ihr euch von einem neuen Geräte einloggt, zusätzlich zum Passwort auch noch einen Code an. Diesen könnt ihr über unterschiedliche Wege erhalten, per SMS oder über spezielle Apps. Was das Merken der Passwörter betrifft, gibt es eine andere Lösung: Den Passwortmanager. Diverse Apps bieten die Möglichkeit, Passwörter zu speichern. Oft sind diese direkt in das Betriebssystem integriert – wer etwas für den Service bezahlt, bekommt außerdem noch die Möglichkeit, die 2-Faktor-Codes dort generieren zu lassen.

Und jetzt ehrlich: So sehr sich Hersteller hier Mühe geben, am Ende nervt das Thema einfach nur noch. Wer ist nicht schon an den Passwortregeln diverser Dienste gescheitert? Wer ärgerte sich nicht schon darüber, dass auf den glorreichen Passwortmanager aktuell nicht zugegriffen werden kann (sofern er einen nutzt)? Da sprechen wir über die große Zukunft – intelligente Städte, fliegende Autos und alles noch toll mit künstlicher Intelligenz – und auf der anderen Seite nerven diese unsicheren Relikte aus einer, gefühlt, längst vergangenen Zeit.

Viele Firmen gehen aktuell einen Schritt weiter. Google bietet mittlerweile einen eigenen Sicherheitsschlüssel an, der den Umgang mit Passwörtern vereinfachen soll. Yubikey, ein langjähriger Hersteller in diesem Bereich, geht mit dem Fido2-Standard jetzt noch einen Schritt weiter.

Bei Fido2 handelt es sich um eine neue Version eines Open-Source-Standards, er soll sichere Authentifizierung ermöglichen. Der Standard selbst wird in den neuen Sicherheitsschlüsseln des Konzerns integriert. Viele Serviceanbieter wollen den Standard in Zukunft übernehmen – so hat Microsoft diesen Schritt bereits angekündigt.

Die Anwendung ist dann äußerst simpel, der Vergleich mit einem klassischen Schlüssel nicht ganz falsch. Der Nutzer speichert seine Zugangsdaten und Passwörter, quasi seinen Passwortmanager, direkt auf dem Sicherheitsschlüssel. Sofern dieser am Computer angeschlossen ist, und der Nutzer sich einmalig authentifiziert hat, wird der Nutzer automatisch überall angemeldet. Wird der USB-Schlüssel abgezogen, sind auch alle Accounts, und gleich der ganze Computer, gesperrt.

Kritiker mögen hier gerne anmerken: Die Welt besteht nicht nur aus Computern und USB – und sie hätten Recht. So weit denkt Yubikey aber auch bereits lange. Es gibt Lösungen mit USB-C Anschluss für neuere Geräte, ebenso gibt es Varianten mit NFC für Smartphones und Co.

Hat das Passwort ausgedient? Ja und nein. Grundsätzlich wären solche Lösungen gut und vergleichsweise günstig, am Ende wird es über lange Zeit aber wieder an der Verbreitung scheitern. Einerseits bräuchten alle Nutzer dann tatsächlich auch so einen Schlüssel, andererseits müssten sowohl Service als auch Hardwarehersteller diese unterstützen. Was nutzt es mir, wenn mein NFC Schlüssel, wie immer, nicht mit Apple Hardware funktioniert und Services A-Y darüber keine Anmeldung erlauben?

Ich selbst besitze bereits länger einen Yubikey und bin nach wie vor genervt, wie selten ich ihn nutzen kann. Am Ende muss eine Lösung her, die immer und überall funktioniert. Sonst bleibt sie eine Nische. Ähnlich wie der Passwortmanager. Oder die 2-Faktor-Authentifizierung – und wir bleiben bei dem perfekten Standardpasswort 123456789.

Via Wired

Heiss diskutiert
Welche Folgen hätte das”Hintertür”-Gesetz der EU bei der End-to-End-Verschlüsselung?
von Michael Sprick
Welche Folgen hätte das”Hintertür”-Gesetz der EU bei der End-to-End-Verschlüsselung?
WhatsApp mit Speichermanagement-Update – so haltet ihr eure Daten im Griff
von Michael Sprick
WhatsApp mit Speichermanagement-Update – so haltet ihr eure Daten im Griff
Apple Silicon / M1 und die Niederlage für Intel
von Jan Gruber
Apple Silicon / M1 und die Niederlage für Intel
Nachtrag: Sicherheitszertifikate – Besondere Vorsicht ist geboten
von Michael Sprick
Nachtrag: Sicherheitszertifikate – Besondere Vorsicht ist geboten

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft